Настройка OpenAM
В этом разделе
- Необходимая информация
Регистрация OpenAM в качестве провайдера корпоративной идентификации в Portal for ArcGIS Регистрация Portal for ArcGIS в качестве проверенного провайдера сервиса в OpenAM
Вы можете настроить OpenAM 10.1.0 и более новые версии в качестве провайдера идентификации для корпоративных учетных записей в Portal for ArcGIS. Процесс настройки состоит из двух основных шагов: регистрации вашего провайдера идентификации в Portal for ArcGIS и регистрации Portal for ArcGIS в провайдере идентификации.
Вы также можете ввести в портал метаданные, относящиеся к корпоративным группам в вашем хранилище идентификаций. Это позволит создавать группы на портале, которые используют существующие корпоративные группы из хранилища идентификаций. . Когда участники входят на портал, доступ к ресурсам, элементам и данным обеспечивается правилами, заданными в корпоративной группе. Если вы не предоставите необходимых метаданных о корпоративных группах, вы все равно сможете создавать группы. Однако правила участия будут определяться Portal for ArcGIS, а не хранилищем идентификаций.
Необходимая информация
Portal for ArcGIS должен получить определенную атрибутивную информацию от провайдера аутентификации, когда пользователь входит с использованием корпоративной учетной записи. NameID это обязательный атрибут, который должен отправляться провайдером аутентификации в SAML-ответе для интеграции с Portal for ArcGIS. При входе пользователя IDP в хранилище пользователей Portal for ArcGIS будет создан новый пользователь с именем NameID. Допустимыми символами значения, которое посылается атрибутом NameID, являются буквы, цифры и _ (нижнее подчеркивание), . (точка) и @ (собачка). Другие символы будут заменены нижним подчеркиванием в имени пользователя, созданном Portal for ArcGIS.
Portal for ArcGIS поддерживает поток атрибутов givenName и email address корпоративной учетной записи от корпоративного провайдера идентификации. Когда пользователь осуществляет вход с использованием корпоративной учетной записи, и Portal for ArcGIS получает атрибуты с именами givenname и email или mail (в любом регистре), Portal for ArcGIS заполняет полное имя и адрес электронной почты для учетной записи пользователя значениями, полученными от провайдера идентификации. Рекомендуем указывать email address от провайдера идентификации, чтобы пользователь мог получать уведомления.
Регистрация OpenAM в качестве провайдера корпоративной идентификации в Portal for ArcGIS
- Войдите на веб-сайт портала в качестве администратора вашей организации и щелкните Моя Организация > Изменить настройки > Безопасность.
- В разделе Корпоративные учетные записи щелкните кнопку Установить провайдера идентификации и введите в открывшемся окне имя вашей организации (к примеру, City of Redlands). При входе пользователей на веб-сайт портала данный текст отображается внутри строки входа SAML (например, Использование учетной записи City of Redlands).
- Укажите, смогут ли пользователи вступать в организацию Автоматически или После добавления учетных записей в портал. Выбор первой опции позволяет пользователям входить в организацию с указанием корпоративной учетной записи без вмешательства администратора. Их учетные записи автоматически регистрируются в организации при первом входе. Во втором случае пользователям потребуется регистрация соответствующих учетных записей в организации, выполняемая администратором посредством специальной утилиты командной строки или скрипта Python. После регистрации учетных записей пользователи смогут входить в организацию.
Подсказка:
Рекомендуется назначить хотя бы одну корпоративную учетную запись в качестве администратора портала и отключить или удалить первичную учетную запись администратора. Также рекомендуется отключить кнопку Создать учетную запись и страницу настройки учетной записи (signup.html) на веб-сайте портала, чтобы пользователи не могли создавать собственные учетные записи. Подробные инструкции см. в разделе Настройка SAML-совместимого провайдера идентификации для работы с порталом.
- Введите метаданные для провайдера идентификации, используя один из трех приведенных ниже вариантов:
- URL – выберите данную опцию, если URL-адрес метаданных OpenAM доступен для Portal for ArcGIS.. Обычно это URL-адрес вида http(s)://<host>:<port>/openam/saml2/jsp/exportmetadata.jsp.
Примечание:
Если ваш провайдер идентификации имеет самозаверяющийся сертификат, возникнет ошибка при попытке указать URL по протоколу HTTPS для метаданных. Ошибка возникнет из-за того, что Portal for ArcGIS не сможет проверить самозаверяющийся сертификат провайдера идентификации. Либо используйте в URL протокол HTTP, как указано ниже, либо настройте провайдер идентификации на работу с доверенным сертификатом.
- Файл – если URL-адрес не доступен для Portal for ArcGIS, сохраните метаданные, полученные из URL-адреса, указанного выше, в виде файла XML и загрузите его.
- Параметры – выберите данную опцию, если недоступны URL-адрес или файл. Вручную введите значения и укажите запрашиваемые параметры: URL для входа и сертификат. Для получения этих значений свяжитесь с администратором OpenAM.
- URL – выберите данную опцию, если URL-адрес метаданных OpenAM доступен для Portal for ArcGIS.. Обычно это URL-адрес вида http(s)://<host>:<port>/openam/saml2/jsp/exportmetadata.jsp.
- Вы также можете ввести в портал метаданные, относящиеся к корпоративным группам в вашем хранилище идентификаций:
- Войдите в ArcGIS Portal Directory в качестве администратора вашей организации. URL-адрес имеет вид https://webadaptor.domain.com/arcgis/portaladmin.
- Щелкните Безопасность > Конфигурация > Обновить хранилище аутентификаций.
- Поместите информацию о конфигурации группы в формате JSON в текстовое поле Хранилище конфигурации группы (в формате JSON).
Если в качестве хранилища идентификации используется Windows Active Directory, скопируйте следующий текст и измените его, указав нужные параметры вашего сайта:
{ "type": "WINDOWS", "properties": { "isPasswordEncrypted": "false", "userPassword": "secret", "user": "mydomain\\winaccount" } }
В большинстве случаев вам будет необходимо изменить только значения для параметров user и userPassword. Несмотря на то, что вы вводите пароль в виде текста, он будет зашифрован при сохранении в директорию конфигурации портала и при просмотре. Для учетной записи, которую вы используете для параметров пользователя, необходимы права доступа только для просмотра имен групп Windows в сети. Если возможно, используйте учетную запись с паролем, срок действия которого не истекает.
Если в качестве хранилища идентификации используется LDAP, скопируйте следующий текст и измените его, указав нужные параметры вашего сайта:
{ "type": "LDAP", "properties": { "userPassword": "secret", "isPasswordEncrypted": "false", "user": "uid=admin\,ou=system", "ldapURLForUsers": "ldap://bar2:10389/ou=users\,ou=ags\,dc=example\,dc=com", "ldapURLForRoles": "ldap://bar2:10389/dc=example,dc=com", "usernameAttribute": "cn", "caseSensitive": "false", "userSearchAttribute": "cn", "memberAttributeInRoles": "member", "rolenameAttribute":"cn" } }
В большинстве случаев, вам будет необходимо изменить только значения для параметров user, userPassword и ldapURLForUsers. URL для вашего LDAP должен предоставляться администратором LDAP. Учетной записи, которую вы используете для параметров пользователя, необходимо иметь права доступа для просмотра названий групп в вашей организации. Несмотря на то, что вы вводите пароль в виде текста, он будет зашифрован при сохранении в директорию конфигурации портала и при просмотре.
Если ваш LDAP не чувствителен к регистру, установите для параметра caseSensitive значение "false".
- После того, как вы закончили вводить JSON для пользовательской конфигурации хранилища, щелкните Обновить конфигурацию для сохранения изменений и повторного запуска портала.
Регистрация Portal for ArcGIS в качестве проверенного провайдера сервиса в OpenAM
- Настройка провайдера аутентификаций в OpenAM.
- Выполните вход в консоль администрирования OpenAM. Обычно она доступна по адресу http://servername:port/<deploy_uri>/console.
- На закладке Общие задачи щелкните Создать провайдера аутентификации.
- Создайте провайдера аутентификации и добавьте его в Круг доверия. Вы можете добавить его в существующий круг, если он уже есть, или создать новый.
- По умолчанию провайдер аутентификации работает с OpenDJ, встроенным хранилищем пользователей, которое входит в комплект OpenAM. Если вы хотите подключить OpenAM к любому другому хранилищу пользователей, например, Active Directory, необходимо создать новый источник данных на закладке Управление доступом основной консоли администрирования OpenAM.
- Настройка Portal for ArcGIS в качестве доверенного провайдера сервиса в OpenAM.
- Получите файл метаданных вашей организации портала и сохраните его как XML-файл.
Для получения файла метаданных войдите в вашу организацию в качестве администратора и откройте страницу вашей организации. Щелкните кнопку Редактировать настройки, перейдите на закладку Безопасность и в разделе Корпоративные учетные записи нажмите кнопку Получить провайдера сервиса.
- В консоли администрирования OpenAM в разделе Общие задачи щелкните Зарегистрировать удаленного провайдера сервиса.
- Выберите опцию Файл для метаданных и загрузите XML-файл метаданных, сохраненный в предыдущем шаге.
- Добавьте этого провайдера сервиса в тот же круг доверия, в который вы добавили свой провайдер аутентификации.
- Получите файл метаданных вашей организации портала и сохраните его как XML-файл.
- Настройте формат NameID и атрибуты, которые OpenAM будет отправлять в Portal for ArcGIS после аутентификации пользователя.
- В консоли администрирования OpenAM щелкните закладку Интеграция. На этой закладке находится круг доверия, который вы добавили ранее, провайдер сервиса и аутентификации.
- В разделе Провайдеры аутентификаций щелкните на вашем провайдере аутентификации.
- На закладке Содержание утверждений в поле Формат ID имени, убедитесь, что urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified указан наверху. Это формат поля NameID, которое Portal for ArcGIS будет запрашивать при SAML-запросе к OpenAM.
- В поле Карта значений ID имени сопоставьте атрибут пользовательского профиля, например, mail или upn, который будет возвращаться как NameID в Portal for ArcGIS после аутентификации пользователя.
Пример: urn:oasis:names:tc:SAML:1.1:nameid-format:unspecified =upn
- Щелкните закладку Обработка утверждений в провайдере аутентификации. В разделе Сопоставление атрибутов вы можете настроить атрибуты из профиля пользователя, которые вы бы хотели отправлять в Portal for ArcGIS.
Portal for ArcGIS поддерживает поток атрибутов givenName и email address корпоративной учетной записи от корпоративного провайдера идентификации. Когда пользователь осуществляет вход с использованием корпоративной учетной записи, и Portal for ArcGIS получает атрибуты с именами givenname и email или mail (любой вариант), Portal for ArcGIS заполняет полное имя и адрес электронной почты для учетной записи пользователя значениями, полученными от провайдера идентификации.
Рекомендуется, чтобы вы пропустили адрес электронной почты от провайдера идентификации в Portal for ArcGIS. Это помогает, если пользователь в дальнейшем становится администратором. Наличие адреса электронной почты для учетной записи дает пользователю возможность получать уведомления о любой административной деятельности и отправлять приглашения другим пользователям о присоединении к организации.
Щелкните Сохранить, чтобы сохранить формат NameID и содержание атрибутов будет изменено.
- На закладке Интеграция консоли администрирования OpenAM перейдите к провайдеру сервиса Portal for ArcGIS в разделе Провайдеры аутентификаций. Настройте список атрибутов, отправляемых в Portal for ArcGIS. Выполните ту же операцию, что и в предыдущих шагах C и E.
- Перезапустите веб-сервер, на котором развернут OpenAM.